Khuôn mẫu COBIT về kiểm soát nội bộ

Phát triển trên nền tảng định nghĩa kiểm soát của COSO, năm 1996 Viện quản lý công nghệ thông tin (IT governance Institute-ITGI) thuộc Hiệp hội về kiểm soát và kiểm toán hệ thống thông tin (ISACA-Information System Audit and Control Association) đã ban hành khuôn mẫu CobiT “Các mục tiêu kiểm soát trong công nghệ thông tin và các lĩnh vực liên quan – Control Objectives for Information and related Technology” nhằm xác định các kiểm soát công nghệ thông tin liên quan hoạt động quản lý điều hành, xử lý hoạt động kinh doanh và dịch vụ công nghệ thông tin giúp đạt mục tiêu kiểm soát công nghệ thông tin.

CobiT được công nhận và sử dụng toàn cầu. Nó là khuôn mẫu linh hoạt, cần thiết, “gắn kết và đồng hành” với yêu cầu và quản lý kinh doanh của doanh nghiệp. Nó được sử dụng bởi nhà quản lý, nhà tư vấn và kiểm toán để:
• Xác định các kiểm soát cần thiết nhằm giảm thiểu rủi ro trong quản lý CNTT và tăng thêm giá trị doanh nghiệp.
• Xây dựng đo lường và gia tăng dịch vụ CNTT một cách hiệu quả
• Đánh giá và kiểm toán quan lý CNTT và đảm bảo rằng quản lý CNTT hỗ trợ, gắn kết và đồng hành với quản lý doanh nghiệp
Khi nghiên cứu về CobiT, người ta xem xét 3 chiều quan trọng liên quan với nhau là chất lượng thông tin, nguồn lực công nghệ thông tin cần và các xử lý (hay kiểm soát) công nghệ thông tin, thể hiện 3 nội dung cần kiểm soát của CobiT.
Mục tiêu chính của hệ thống thông tin là cung cấp thông tin phục vụ các hoat động kinh doanh và điều hành, quản lý doanh nghiệp. Vì vậy thông tin cần đạt chất lượng yêu cầu, đó là chiều thứ nhất. Muốn tạo thông tin cần nguồn lực công nghệ thông tin để tạo thông tin, đó là chiều thứ 2; Các nguồn lực công nghệ thông tin này cần kết hợp với nhau theo qui trình xử lý nào đó để tạo thông tin, đó là chiều thứ 3. Cả 3 chiều này đều cần kiểm soát nhằm đạt mục tiêu kiểm soát.

1. Chất lượng thông tinđược đánh giá qua 7 tiêu chuẩn để đáp ứng yêu cầu:
– Yêu cầu chất lượng gồm:
+ Hữu hiệu. Thông tin được coi là hữu hiệu nếu phù hợp với yêu cầu xử lý kinh doanh và đáp ứng người sử dụng kịp thời, chính xác, nhất quán và hữu ích phù hợp với các phương pháp xử lý đã lựa chọn.
+ Hiệu quả. Là tiêu chuẩn liên quan tới hiệu quả, kinh tế của việc sử dụng các nguồn lực tạo thông tin.
– Yêu cầu an ninh thông tin gồm
+ Bảo mật. Đảm bảo thông tin được bảo vệ nhằm tránh việc sử dụng không được phép.
+ Toàn vẹn. Là tiêu chuẩn liên quan tới tính chính xác và đầy đủ cũng như hợp lệ của thông tin nhằm đảm bảo các dữ liệu lưu trữ trong cơ sở dữ liệu chính xác và tin cậy được. Đảm bảo các thông tin đúng, đủ, không bị trùng lắp tại các điểm phát sinh dữ liệu; và Không bị làm khác biệt trên qui trình khai thác. Điều này đảm bảo thông tin được tạo ra từ những dữ liệu phù hợp với nhau và không bị sửa chữa trong cơ sở dữ liệu
+ Sẵn sàng. Thể hiện thông tin sẵn sàng đáp ứng phục vụ cho xử lý kinh doanh hiện tại và tương lai. Như vậy để sẵn sàng cung cấp thông tin, nó đòi hỏi tính an toàn của các nguồn lực cần thiết liên quan.
– Yêu cầu tin cậy
+ Tuân thủ. Đây là tiêu chuẩn yêu cầu thông tin phải phù hợp luật pháp, chính sách hoặc các tiêu chuẩn xử lý kinh doanh và các thỏa thuận ràng buộc.
+ Đáng tin cậy. Đáng tin cậy là tiêu chuẩn yêu cầu cung cấp đủ thông tin thích hợp cho việc điều hành hoạt động doanh nghiệp và thực thi các trách nhiệm liên quan.

2. Nguồn lực công nghệ thông tin bao gồm:
– Hệ thống ứng dụng (công nghệ): là các phần mềm hoặc các thủ tục thủ công để xử lý thông tin.
– Thông tin. Là các dữ liệu đầu vào của hệ thống, dữ liệu được xử lý, kết xuất của hệ thống thông tin. Tất cả các dữ liệu và thông tin này có thể được hình thành và lưu trữ ở bất cứ hình thức nào ví dụ giấy tờ, tập tin điện tử v.v..
– Cơ sở hạ tầng. Bao gồm kỹ thuật và các phương tiện hỗ trợ như thiết bị phần cứng, hệ thống hoạt động, hệ quản trị cơ sở dữ liệu, hệ thống mạng, phương tiện truyền thông … và môi trường của chúng (như là nhà cửa, công cụ dụng cụ hỗ trợ khác)
– Con người. Là những người liên quan tới việc lập kế hoạch, tổ chức, xác định yêu cầu, hình thành hệ thống, thực hiện xử lý và tạo thông tin, hỗ trợ, giám sát và đánh giá hệ thống thông tin và dịch vụ. Họ có thể là nhân viên trong doanh nghiệp, người bên ngoài thực hiện dịch vụ cho hệ thống hoặc cung cấp sản phẩm liên quan hệ thống thông tin

3. Xử lý công nghệ thông tin(hay các hoạt động xử lý hay hoạt động kiểm soát công nghệ thông tin) được hiểu là tất cả các hoạt động, các xử lý liên quan toàn bộ quá trình phát triển hệ thống thông tin theo chu trình PDCA – lập kế hoạch (Planing); thực hiện (Do); kiểm tra (Check); và những sai sót cần được điều tra và sửa chữa (Act) như lý thuyết quản lý của Deming nhằm thể hiện một chu trình phát triển liên tục. Chu trình này thể hiện các nhu cầu thông tin (phục vụ cho nhu cầu quản lý doanh nghiệp) và việc cung cấp thông tin (thể hiện ở quản lý CNTT) đều cần lập kế hoạch để đảm bảo có thể thực hiện và đo lường được. Các kế hoạch này cần được thực hiện, thông tin cần phải được cung cấp gọi là thực hiện. Những việc thực hiện này cần được đo lường dựa vào các chỉ tiêu đo lường đã được xây dựng ở giai đoạn lập kế hoạch, gọi là kiểm tra. Những sai sót phát hiện ở giai đoạn kiểm tra cần được điều tra tìm nguyên nhân và phải sửa chữa những sai sót này. Bằng cách áp dụng nguyên lý theo lý thuyết PDCA trên, CobiT chia các hoạt động xử lý CNTT thành 4 vùng mục tiêu chính bao gồm (1) Hoạch định và tổ chức; (2) Hình thành và triển khai; (3) Phân phối và hỗ trợ; và (4) Giám sát. Mỗi vùng mục tiêu gồm nhiều xử lý chi tiết với tổng cộng 34 hoạt động xử lý kiểm soát chi tiết và các hoạt động chi tiết cụ thể. Nó cũng chính là các hoạt động kiểm soát. Các vùng mục tiêu chính bao gồm.

cobit.jpg

– Lập kế hoạch và tổ chức (PO) là các hoạt động thiết lập chính sách, mục tiêu của hệ thống thông tin và cách thực hiện công nghệ thông tin nhằm phục vụ cho việc đạt mục tiêu quản lý của tổ chức nhằm đạt 2 mục tiêu kiểm soát quan trọng là thiết lập tầm nhìn chiến lược cho hệ thống thông tin và phát triển tầm nhìn chiến lược này thành các mục tiêu hay kế hoạch cụ thể nhằm đạt được chiến lược này. Nó gồm 11 xử lý kiểm soát chi tiết.
– Hình thành và triển khai (AI). Dựa vào các chiến lược và kế hoạch phát triển hệ thống thông tin, các yêu cầu và giải pháp cụ thể hệ thống thông tin cần được xác định và tiến hành mua hay hình thành nó. Như vậy đây chính là quá trình phân tích, thiết kế và thực hiện hệ thống thông tin. Nó gồm 6 hướng dẫn xử lý kiểm soát chi tiết
– Phân phối và hỗ trợ (DS). Khi hệ thống đã hình thành thì sử dụng và do đó tạo các thông tin cần thiết cho người sử dụng và được tích hợp cùng qui trình xử lý kinh doanh của doanh nghiệp. Như vậy đây chính là quá trình phân phối sản phẩm thông tin và muốn tạo được thông tin tới người sử dụng thì cần các hoạt động hỗ trợ người sử dụng cách sử dụng và giải quyết các vấn đề trục trặc của hệ thống. Bản chất của vùng hoạt động này là các kiểm soát đảm bảo an toàn hệ thống trong quá trình sử dụng như kiểm soát truy cập hệ thống, an toàn vật lý, phần mềm và bao gồm cả kiểm soát ứng dụng như nhập liệu, xử lý và tạo kết quả xử lý. Nó gồm 13 hướng dẫn xử lý chi tiết.
– Giám sát và đánh giá (ME). Tất cả hoạt động của hệ thống thông tin cần được giám sát và đánh giá để phát hiện các sai sót, yếu kém xẩy ra. Nó gồm 4 hướng dẫn xử lý kiểm soát chi tiết.
Nếu xem xét mối quan hệ giữa các kiểm soát hệ thống CNTT với mức độ ảnh hưởng tới phạm vi hoạt động doanh nghiệp, các hoạt động xử lý CNTT hay kiểm soát CNTT có thể phân thành kiểm soát chung và kiểm soát ứng dụng. Các hoạt động kiểm soát xử lý chi tiết trên nếu phân theo mức độ ảnh hưởng cấp độ hoạt động có thể phân thành:
– Kiểm soát chung là các kiểm soát gắn với tất cả thành phần của hệ thống thông tin nhằm cung cấp một môi trường hoạt động tin cậy và hỗ trợ kiểm soát ứng dụng hoạt động hiệu quả. Kiểm soát chung có mức độ ảnh hưởng tới cấp độ toàn bộ hệ thống thông tin và cấp độ hoạt động, liên quan tới các hoạt động hình thành, sử dụng, bảo dưỡng và giám sát hệ thống thông tin.
– Kiểm soát ứng dụng là kiểm soát gắn kết trực tiếp tới hoạt động xử lý kinh doanh nhằm hỗ trợ trực tiếp mục tiêu kiểm soát tính hữu hiệu, toàn vẹn thông tin tạo ra. Nó ảnh hưởng trực tiếp cấp độ hoạt động, ví dụ các kiểm soát qui trình xử lý nhập liệu, xử lý dữ liệu và tạo thông tin, hoặc kiểm soát sự tương thích giữa ủy quyền truy cập (xác định ở kiểm soát chung) và người thực hiện truy cập để xử lý nghiệp vụ kinh tế.